-
Junior Member
- Вес репутации
- 48
GuardGuard.exe
Здравствуйте,
Вчера обнаружила появление в процессах GuardGuard.exe (стоит Mail.Ru Агент, но у него до вчерашнего дня были только GuardMailRu.exe в количестве двух штук, а этот появился вчера). Лежит в папке C:\Windows\Temp; на первый взгляд вроде ничего особенного не делает. Система работает так же, как и всегда; память никто не ест и процессор не грузит (сам GuardGuard занимает 1-1.5 Мб в памяти). При завершении процесса восстанавливается. Цифровая подпись - LLC Mail.ru, вроде как действительная. Судя по дате файла, создается заново при каждой перезагрузке. Я бы, может, и успокоилась на этом (цифровая подпись - весомый аргумент), но заметила сейчас появление рядом с ним 7871F85240184A539D23BB31490900CE.exe (абсолютно идентичный файл, та же цифровая подпись) - в процессах нету, просто появился рядом в \Temp. При перезагрузке исчез. Есть подозрение, что это результат моей попытки убить процесс (может, он восстанавливается, создавая рядом свою временную копию), но черт его знает.
В отличие от похожей темы чуть ниже в списке, интернет работает нормально, папка Temp не разрастается до неприличных размеров, т.е. как минимум на вид все хорошо. Судя по TcpView, в интернет этот GuardGuard не лезет. Думала посмотреть еще, с какими процессами связан или какие файлы трогает, но не нашла, чем это сделать.
Логи приложены. Если это все-таки паранойя и эта штука действительно принадлежит mail.ru, то пусть живет. Если же нет, помогите аккуратно избавиться, не угробив при этом систему. )
Последний раз редактировалось _Line; 09.04.2011 в 22:43.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\guardguard.exe');
QuarantineFile('c:\windows\temp\guardguard.exe','');
DeleteFile('c:\windows\temp\guardguard.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Не помогло - в процессе выполнения скрипта в окне лога AVZ написал что-то про ошибку карантина (что именно - разглядеть не смогла, окно было закрыто окном скрипта, а после нажатия ОК машина ушла в перезагрузку довольно быстро). Соответственно, после перезагрузки GuardGuard.exe на месте и ничего в его поведении не изменилось, поэтому пока не стала делать повторные логи.
Заархивировала вручную в zip с паролем virus, надеюсь, это ничего, что архив с файлом "нестандартный" (может, AVZ служебную информацию в него еще включает?)
Результат загрузки
Файл сохранён как 110410_014039_GuardGuard_4da10a970e522.zip
Размер файла 137584
MD5 3b33e718ddbf54533ba551c399f77755
Ну, собственно, как я уже говорила, мне критично не избавиться от него, а узнать, может, он и правда легитимный. Если так, пусть живет.
Добавлено через 11 минут
А, ну хотя вот AVZ все-таки что-то в карантин поместил, но такое впечатление, что "пустышки". На всякий случай залила этот virus.zip его:
Результат загрузки
Файл сохранён как 110410_015243_virus_4da10d6b1af5a.zip
Размер файла 588
MD5 2088156c11d25737cfbe87270310acf6
Последний раз редактировалось _Line; 10.04.2011 в 05:52.
Причина: Добавлено
-
Сообщение от
thyrex
Сделайте новые логи
Где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
Вот, приложены. Просто, как я уже говорила, изменений не было никаких...
Карантин (ну и заархивированный вручную файл) в сообщении выше.
-
Junior Member
- Вес репутации
- 48
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\guardguard.exe');
DeleteFile('c:\windows\temp\guardguard.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 48
А по результату загрузки файла есть ответ? Когда-то давно пользовалась вашим сервисом, можно было посмотреть на результат проверки файла, сейчас не могу найти, где. Сейчас, кстати, посмотрела - если убрать GuardMailRu из автозагрузки временно, этот тоже не запускается.
Логи завтра сделаю.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-